News

Neuer Erpresserschädling: kostenlose Dechiffrierung im Tausch gegen Neuinfektionen

Forscher haben einen neuen Kryptoblocker im Entwicklungsstadium entdeckt, der dem Opfer völlig unverblümt anbietet, seine Dateien kostenlos zu dechiffrieren, wenn es sich damit einverstanden erklärt, zwei andere Nutzer zu infizieren, die dann auch tatsächlich Lösegeld zahlen.

„Mir ist etwas Derartiges bei Erpressern noch nie untergekommen“, sagt Lawrence Abrams von der IT-Website BleepingComputer.com, der diesen Fund publik gemacht hat. „Das ist der erste Fall dieser Art in meiner Praxis.“

Von dem neuen Erpressungsschädling, der auf den Namen Popcorn Time getauft wurde (nicht zu verwechseln mit der gleichnamigen App zum Ansehen von Videocontent!), erfuhr Abrams aus dem Tweet eines Forschers vom MalwareHunterTeam, der die schädliche App im Darkweb aufgespürt hatte. Eine Analyse des Codes hat bestätigt, dass dieser Schädling das Opfer vor die Wahl stellt, entweder das Lösegeld selbst zu bezahlen oder zwei anderen Nutzern einen Link auf die Schaddatei zu schicken und auf ein positives Resultat zu warten. Ob Popcorn Time sich bereits ausgebreitet hat und möglicherweise sogar schon weit ausgebreitet hat, konnte bisher nicht festgestellt werden. „Dieser Code ist unvollständig, einige C&C-Server funktionieren nicht und es fehlen auch noch mehrere wichtige Komponenten“, kommentiert Abrams die Untersuchungsergebnisse.

Laut Aussage der Forscher umfasst die Liste der Dateien, die von Popcorn Time verschlüsselt werden können, mehr als 500 Positionen. Der neue Schädling arbeitet mit einem AES-Schlüssel mit einer Länge von 256 Bit, und er fügt dem Dateinamen nach der Chiffrierung die Erweiterung .filock hinzu. Dem von BleepingComputer.com veröffentlichten Screenshot nach zu urteilen soll das Opfer innerhalb einer Woche das Lösegeld bezahlen („der schnelle und einfache Weg“, wie die Erpresser schreiben) oder neue Opfer finden („der niederträchtige Weg“).

„Wir bedauern Ihnen mitteilen zu müssen, dass Ihr Computer und Ihre Dateien verschlüsselt wurden, doch keine Sorge. Es gibt eine Möglichkeit, den Computer und die Dateien wiederherzustellen. Schicken Sie den unten stehenden Link an andere Leute. Wenn zwei oder mehr Personen diese Datei installieren und bezahlen, dechiffrieren wir Ihre Dateien kostenlos.“

Neuer Erpresserschädling: kostenlose Dechiffrierung im Tausch gegen Neuinfektionen

Die Schöpfer dieses Erpresserprogramms geben sich als „Gruppe von Informatikstudenten aus Syrien aus“ und behaupten, dass von den Einnahmen aus der Aktivität des Schädlings Lebensmittel und Medikamente bezahlt werden sowie Obdach für Syrer, die infolge der Kriegshandlungen ihre Bleibe verloren haben. „Es tut uns sehr Leid, dass wir Sie zwingen müssen, zu bezahlen“, schreiben die ‚Wohltäter‘.

Für die Dechiffrierung der Dateien verlangen die Cybergangster 1 Bitcoin (etwa 800 US-Dollar), wobei das Opfer den Schlüssel nicht unzählige Male benutzen kann. „Das Erpresserprogramm enthält nicht vollendeten Code, auf Grundlage dessen anzunehmen ist, dass bei viermaliger falscher Eingabe des Schlüssels das Schadprogramm beginnt, die Dateien zu löschen“, schreibt Abrams auf der Website von Bleeping Computer.

Wie effektiv eine solche Verbreitungs- und Monetarisierungsmethode von Erpresserprogrammen ist, lässt sich derzeit nur schwer sagen. „Werden viele Betroffene bereit sein, das Gesetz zu brechen und versuchen, andere zu infizieren?“ fragt sich Abrams. „Ich glaube, nein“. Doch trotzdem scheint es Aasgeier zu geben, die keine moralischen Grenzen kennen und einen solchen Ansatz ausprobieren.“

Quelle: Threatpost

Neuer Erpresserschädling: kostenlose Dechiffrierung im Tausch gegen Neuinfektionen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach